Tuning IDS Juniper Netscreen25 - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 26-12-2007 à 11:39:15
Et pourquoi ne pas envoyer un mail d'abuse à l'ISP qui gère l'adresse IP du serveur en question ? normalement tu devrais plus avoir de souci rapidement (quoique avec les fêtes )
Sinon fait un règle dans ton outil de messagerie pour qu'il benne automatique le mail en question
Enfin dans l'absolu c'est normal que tu ne puisses pas "contourner" l'envoi de cette email au niveau de ton firewall qui voit passer une attaque... il agit bêtemenet (et c'est ce qu'il doit faire) en t'informant de l'attaque
Après y'a ptet une solution au niveau du NS25 mais ça fait un baille que j'ai pas mis les mains dans ça et celui qui s'occupe de nos firewall est en congé donc je peux pas lui demander
Marsh Posté le 26-12-2007 à 10:55:50
Bonjour à tous,
Je ne parviens pas à éradiquer une message d'alerte généré par l'IDS intégré d'un cluster Juniper firewall netscreen 25 / Os5.2.
Je recois toutes les 5 minutes un mail d'alerte :
[00001] 2007-12-26 09:18:24 [Root]system-emergency-00006: Teardrop attack! From x.x.x.x:36494 to x.x.x.x:25, proto TCP (zone Untrust, int ethernetX). Occurred 2 times. En gros, un serveur externe de messagerie pousse du mail sur mon serveur de messagerie interne, mais tout ne passe pas puisque je suis bombardé de tear-drop :s.
J'ai retourné la conf dans tous les sens, je ne trouve pas de section dans laquelle je puisse demander une exception pour ce serveur.
Je peux tagger ce flux comme "faux positif" dans les logs Netscreen, mais rien n'y fait, je recois encore une montagne d'e-mail !
Si quelqu'un à une idée, je suis preneur
Merci beaucoup